Styrelsen for It og Læring stiller som databehandler det fælles datagrundlag til rådighed for kommunerne til brug for den kommunale ungeindsats, herunder udarbejdelse af og opfølgning på den enkelte unges uddannelsesplan eller uddannelsespålæg, og den arbejdsmarkedsrettede indsats. Kommunerne er dataansvarlige for behandlingen af de indlæste personoplysninger i det fælles datagrundlag og kan i opgaveløsningen behandle elevers personnumre med henblik på en entydig identifikation.
Stk. 2 Styrelsen for It og Læring handler som databehandler alene efter dokumenteret instruks fra kommunerne. Styrelsen for It og Læring skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, og mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og med databeskyttelsesloven. Styrelsen skal herved også sikre, at it-løsningen for det fælles datagrundlag opfylder forordningens krav til databeskyttelse gennem design og databeskyttelse gennem standardindstillinger.
Stk. 3 Styrelsen for It og Læring skal efter anmodning fra kommunerne give tilstrækkelige oplysninger til, at kommunerne kan påse, at der er truffet de i stk. 2 nævnte tekniske og organisatoriske sikkerhedsforanstaltninger.
Stk. 4 Styrelsen for It og Læring fastsætter efter forhandling med KL nærmere regler om kommunernes opgaver og ansvar som dataansvarlige, jf. stk. 1, og om styrelsens opgaver og ansvar som databehandler. Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse